As tecnologias automatizadas de proteção da Kaspersky Lab detectaram uma nova vulnerabilidade no Microsoft Windows e acredita-se que ela foi usada em ataques direcionados por pelo menos dois grupos especializados em APTs, inclusive o recém-descoberto SandCat. Esse é o quarto exploit de dia-zero em atividade descoberto pela Tecnologia de Prevenção Automática contra Exploits da Kaspersky Lab. A empresa notificou a vulnerabilidade à Microsoft, atribuída como CVE-2019-0797, e esta já lançou uma atualização.
As vulnerabilidades de dia-zero são falhas desconhecidos no software que podem ser exploradas por invasores para violar o dispositivo e a rede da vítima. O novo exploit usa uma vulnerabilidade no subsistema gráfico do Microsoft Windows para conseguir adiquirir privilégios locais e obter controle total do computador invadido. A amostra de malware examinada pelos pesquisadores da Kaspersky Lab mostra que o exploit visa as versões do sistema operacional do Windows 8 ao Windows 10.
Os pesquisadores acreditam também que vários grupos especializados em APTs, como o FruityArmor e SandCat, podem ter usado o exploit detectado, mas possivelmente não apenas esses. O FruityArmor é conhecido por já ter usado exploits de dia-zero e o SandCat é um novo grupo que foi descoberto recentemente.
“A descoberta de uma vulnerabilidade desconhecida no Windows e explorada ativamente mostra que essas ferramentas caras e raras continuam interessando muito aos grupos especializados em APTs e as organizações precisam de soluções de segurança capazes de protegê-las contras essas ameaças desconhecidas. Isso também reafirma a importância da colaboração entre o setor de segurança e os desenvolvedores de software: a busca de falhas, sua divulgação responsável e a correção imediata são as melhores maneiras de manter os usuários a salvo de novas ameaças”, afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.
Sete vulnerabilidades são eliminadas em plataforma IoT industrial com ajuda da Kaspersky Lab
A Kaspersky Lab recomenda a adoção das seguintes medidas de segurança:
Instale a atualização da Microsoft para corrigir a vulnerabilidade assim que possível.
-Não deixe de atualizar regularmente todos os softwares usados em sua organização e sempre que for lançado uma nova correção de segurança. Os produtos de segurança com funcionalidades de Avaliação de Vulnerabilidades e Gerenciamento de Correções ajudam a automatizar esses processos.
-Use uma solução de segurança de ponta, como o Kaspersky Endpoint Security, que fornece funcionalidades de detecção baseadas em comportamento para proporcionar proteção eficiente contra ameaças conhecidas e desconhecidas, incluindo exploits como este.
-Para empresas que necessitam de uma proteção sofisticada, use ferramentas de segurança avançadas, como a Kaspersky Anti Targeted Attack Platform.
-Garanta que a sua equipe de segurança tenha acesso a relatórios de Threat Intelligence mais recente. Relatórios privados sobre as últimas evoluções do cenário de ameaças estão disponíveis para os clientes do serviço Kaspersky APT Intelligence Reporting.
-Igualmente importante, garanta que toda a sua equipe seja treinada nos conceitos básicos da higiene de cibersegurança.
